GİRİŞ

Kişisel sağlık verileri; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Değiştirilen ve Eklenen Hükümler” başlıklı 30. maddesinin 7. fıkrasının atfıyla 663 sayılı Kanun Hükmünde Kararname’nin “Bilgi Toplama, İşleme ve Paylaşma Yetkisi” başlıklı 47. maddesinde düzenlenmiştir.

Çalışmamızın ilk bölümünde kişisel sağlık verilerinin neler olduğu, bu verilerin işlenerek özellikle dijital ortamda tutulmasının olumlu ve olumsuz sonuçları açıklanacaktır. İkinci bölümünde ise kişisel sağlık verilerine ilişkin mevzuat ayrıntılı olarak incelenecektir ve mevzuat doğrultusunda kişisel sağlık verilerinin işlenerek depolandığı sistemlerden bahsedilecektir.

  1. KİŞİSEL SAĞLIK VERİLERİ, VERİLERİN İŞLENMESİ VE DİJİTAL ORTAMDA DEPOLANMASI

1.1. Kişisel Sağlık Verileri

Sağlık verileri; 2002 Washington Dünya Hekimler Birliği Genel Kurulu’nda kabul edilen bildirgeye göre kişinin bedensel ya da zihinsel sağlığına ilişkin kayıt edilmiş tüm bilgilerdir. Kişinin yaşadığı sağlık sorunları, hekimi ile arasındaki ilişki, hastalığının ne olduğu, kullandığı ilaçlar, kendisine uygulanan tedaviler, vücut özellikleri, tahlil ve görüntüleme sonuçlarının yanı sıra kişinin genetik özellikleri, DNA’sı, parmak izi gibi biyometrik verileri; kişisel sağlık verileri olarak kabul edilmektedir.

1.2. Kişisel Sağlık Verilerinin İşlenmesi ve Dijital Ortamda Depolanması

Kişisel sağlık verilerinin korunması bakımından en sıkıntılı husus, sağlık verilerinin işlenmesidir. Verilerinin işlenmesi; tedavinin sürekliliği, bilimsel ve istatistiksel değerlendirmeler aracılığıyla toplum sağlığına katkı sağlama ve hukuksal durumlarda belge işlevi taşıma gibi nedenlerle gerekli olsa dahi çok ciddi temel hak ve özgürlük ihlalleri doğurabilmektedir. Buradaki sorun hangi verilerin, hangi amaçla, hangi süreyle, ne şekilde işleneceğine, nerede depolanacağına ve kimler ile paylaşılabileceğine ilişkindir.

KVKK’nın 6. maddesinde belirtildiği üzere; sağlık verileri özel nitelikli verilerdendir ve 6/3’teki özel düzenleme uyarınca cinsel hayata ilişkin veriler ile birlikte sağlık verileri ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Sağlık verilerinin özellikle dijital ortamda depolanması elbette bazı konularda yarar sağlamaktadır. Bunlar; hasta tedavi ve bakımının iyileştirilmesi, acil durumlarda hasta bilgilerine hızlı ulaşımtetkiklerin tekrarından kaçınma ve zamandan kazanmayasal bilgi ve belge oluşturmada kolaylık olarak sıralanabilir. Ancak sağlık verilerinin dijital ortamda depolanmasının birçok olumsuz yanı da bulunmaktadır. Hasta mahremiyetinin ortadan kalkması ve kişilerin maddi, manevi ve sosyal yönden zarar görmesi bunlardan en önemlileridir. Bunun sonucunda kişilerin haksız ve ayrımcı işlemlere tabi tutulabilmesi, kişilere ait özel bilgilerin izinsiz ifşa edilebilmesiverilerde izinsiz değişimlerin yapılabilmesihastanın bilgilerini saklaması ve tedavinin bu durumdan etkilenmesi gibi durumlar ortaya çıkabilmektedir. Toplanan verilerin metalaştırılarak alınıp, satılabilir hale gelmesi ve amaç dışı kullanılması da en büyük tehlikelerden biridir.

  1. KİŞİSEL SAĞLIK VERİLERİNE İLİŞKİN MEVZUAT

2.1. Genel Olarak

663 sayılı KHK’nın 47. maddesi, Anayasa Mahkemesi tarafından 14.02.2013 ve 04.12.2014 tarihlerinde olmak üzere iki kere iptal edilmiştir ve 6698 sayılı Kanun ile düzenleme son halini almıştır. Kişisel sağlık verilerine ilişkin 20.10.2016 tarihli yönetmelik hakkında 06.07.2017 tarihinde yürütmenin durdurulması kararı verilmesine rağmen, 24.11.2017 tarihinde bu yönetmelikte değişiklik yapılmasına ilişkin yönetmelik yayımlanmıştır.

Görüldüğü üzere, kişisel sağlık verilerine ilişkin düzenlemelerin birçok kere hukuka ve mevzuata uygun olmadığı yargı kararları ile tespit edilmesine rağmen yasama ve yürütme tarafından aynı veya benzer yönde düzenlemeler yapılmıştır. Mevzuat değişikliklerine ilişkin bu süreç, ayrıntılı şekilde açıklanacaktır. Kişisel sağlık verilerinin düzenlendiği 663 sayılı KHK’nın 47. maddesi ve Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’in önemli maddeleri bazı hususlarda 24.11.2017 tarihli yeni yönetmelik ile karşılaştırılarak aktarılacaktır.

2.2. 6223 Sayılı Kamu Hizmetlerinin Düzenli, Etkin Ve Verimli Bir Şekilde Yürütülmesini Sağlamak Üzere Kamu Kurum Ve Kuruluşlarının Teşkilat, Görev Ve Yetkileri İle Kamu Görevlilerine İlişkin Konularda Yetki Kanunu

6223 sayılı Yetki Kanunu, 06.04.2011 tarihinde kabul edilmiş olup, 03.05.2011 tarihli ve 27923 sayılı Resmi Gazete’de yayımlanmıştır. Yetki kanununun “Amaç ve kapsam” başlıklı 1. maddesinin 1. fırkasında belirtildiği üzere, kanunun amacı kamu hizmetlerinin düzenli, süratli, etkin, verimli ve ekonomik bir şekilde yürütülmesini sağlamaktır. Bu amaçla, maddenin 2. fıkrasının (a) bendinde 19 alt bent halinde sayılan kamu kurum ve kuruluşlarına ilişkin kamu hizmetlerinin bakanlıklar arasındaki dağılımının belirlenmesi öngörülmüştür. 2. fıkranın (a) bendinin (20) numaralı alt bendinde ise 19 alt bent halinde sayılan kamu kurum ve kuruluşları dışındaki kamu kurum ve kuruluşlarının da bünyesinde değişiklikler yapılabileceğine ilişkin düzenleme yer almaktadır. 2. fıkranın (b) bendinde 6 alt bent halinde sayılan kamu kurum ve kuruluşlarında istihdam edilen kişilerin nakil, görevlendirme, seçilme, terfi, yükselme, görevden alınma ve emekliye sevk edilme usul ve esaslarına ilişkin değişiklik yapılması öngörülmüştür. Yine, 2. fıkranın (b) bendinin (7) numaralı alt bendinde 6 alt bent halinde sayılan kamu kurum ve kuruluşları dışındaki kamu kurum ve kuruluşlarda istihdam edilen kişilerin nakil, görevlendirme, seçilme, terfi, yükselme, görevden alınma ve emekliye sevk edilme usul ve esaslarına ilişkin değişiklik yapılabileceğine dair düzenleme yer almaktadır.

Yetki Kanunu’nda sayılmayan ancak “Diğer kamu kurum ve kuruluşları” olarak belirtilen kurumların yapısında ve bu kurumlarda istihdam edilen kişilere ilişkin konularda değişiklik yapma yetkisinin verilmesi nedeniyle; Yetki Kanunu’nun 1. ve 2. maddelerinin, Anayasa’nın 2., 7., 87. ve 91. maddelerine aykırılığı savıyla ana muhalefet partisi milletvekilleri tarafından düzenlemenin iptali ve yürürlüğünün durdurulması istemi ile Anayasa Mahkemesi’ne başvurulmuştur.

Kanunun Anayasa’ya aykırılığı hususunda Serruh Kaleli, Fulya Kantarcıoğlu, Mehmet Erten, Fettah Oto, Serdar Özgüldür, Osman Alifeyyaz Paksüt ile Recep Kömürcü’nün “İptal istemine konu 6223 sayılı Yetki Kanunu’nun 1. maddesinin (2) no’lu fıkrasının (a) bendinde 19 alt bend, (b) bendinde 6 alt bend halinde, nasıl ki belli konu koşulunu yerine getirmek üzere sayılarak yazılan ve bu nedenle de Anayasa’ya aykırılık kapsamında değerlendirilmeyen niteleme gibi bir açıklık, netlik, belirlilik içermeyen 20 ve 6 No’lu  alt bentlerde yer alan  “Diğer Kanun ve KHK’lerin.” şeklindeki  kuralın; hangi kanun, hangi KHK sorusunu sordurarak bir bilinmeyene işaret etmesi, düzenlemenin amaç ve kapsam yönünden çok geniş ve genel anlatımla, ilgili ilgisiz tüm mevzuatı değiştirme yetkisi tanıması itibariyle  ucu açık bir  mahiyet arzetmesi karşısında, artık  “belli” bir konu ve kanundan da söz edebilmeye imkân yoktur ve bu somut tespit söz konusu kuralları Anayasa’ya aykırılıkla sakatlamış bulunmaktadır. Açıklanan nedenlerle, ilgili kuralların iptali gerektiği kanısına vardığımızdan; çoğunluğun aksi yöndeki kararına katılamıyoruz.” gerekçesiyle kullandıkları karşı oya rağmen Anayasa Mahkemesi’nın 2011/60 E., 2011/147 K. ve 27.10.2011 tarihli kararıyla 6223 sayılı Yetki Kanunu Anayasa’ya uygun bulunarak söz konusu istem oy çokluğu ile reddedilmiştir.

Anayasa Mahkemesi’nin bazı yargıçlarının karşı oyunda belirtildiği üzere, kanun hükmünde kararnamelerin çıkarılması için verilen yetkinin; amaç, kapsam ve ilkelerinin belirlenmesi ve bu yetki ile Bakanlar Kurulu’nun çıkaracağı kanun hükmünde kararname ile neleri gerçekleştirebileceğinin açıklığa kavuşturulması gerekmektedir. Ancak 6223 sayılı Yetki Kanunu, Bakanlar Kurulu’na verilen yetkiyi somutlaştırmamıştır ve yetkinin çerçevesi çizilmemiştir. Tam aksine, verilen yetki yasama yetkisinin devri anlamına gelecek şekilde genelleştirilmiştir. Bu hususlar göz önünde bulundurularak söz konusu yetki kanununun Anayasa’ya aykırılığı nedeniyle iptaline karar verilmesi gerekirken oy çokluğu ile istem reddedilerek temel hak ve özgürlükleri daraltacak şekilde düzenleme yapılmasının önü açılmıştır.

2.3. 663 Sayılı Sağlık Bakanlığı Ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname

6223 sayılı Yetki Kanunu’na dayanılarak çıkartılan 663 sayılı KHK, 11.10.2011 tarihinde kabul edilerek 02.11.2011 tarihli, 28103 sayılı Resmi Gazete’de yayımlanmıştır. Ayrıntılı olarak bahsedildiği üzere, söz konusu KHK ile 6223 sayılı Yetki Kanunu’nda sayılmayan kamu kurum ve kuruluşlarından biri olan Sağlık Bakanlığı’nın yapısında değişiklikler yapılmıştır. KHK’nın amacı, 1. maddenin 1. fıkrasında belirtildiği gibi Sağlık Bakanlığı ve bağlı kuruluşlarının teşkilat, görev, yetki ve sorumluluklarını düzenlemektir.

Kişisel sağlık verileri, KHK’nın “Bilgi toplama, işleme ve paylaşma yetkisi” başlıklı 47. maddesinde düzenlenmiştir. Anamuhalefet partisinin 118 milletvekili tarafından 47. madde de dahil olmak üzere 663 sayılı KHK’nın, Anayasa’nın birçok maddesine aykırı olduğu iddiasıyla yürürlüğünün durdurulması ve iptali istemiyle dava açılmıştır.

Anayasa Mahkemesi tarafından ilk olarak KHK’nın 47. maddesinin 1., 2. ve 3. fıkralarının 6223 sayılı Yetki Kanunu’nun kapsamında olup olmadığı incelenmiştir. Anayasa Mahkemesi; 2011/150 E., 2013/30 K. ve 14.02.2013 tarihli kararı ile Anayasa’nın “Kanun Hükmünde Kararname Çıkarma Yetkisi Verme” başlıklı 91/1 maddesine atıf yaparak temel hak ve özgürlüklerin sıkıyönetim ve olağanüstü haller dışında kanun hükmünde kararname ile düzenlenemeyeceğini ve 663 sayılı KHK’nın 47. maddesi ile Anayasa’nın “Kişinin Hakları ve Ödevleri” başlıklı ikinci bölümünün 20. maddesinde yer alan özel hayatın gizliliği ve kişisel verilerin korunması haklarına ilişkin düzenleme yapılmasının 91. maddeye aykırı olduğunu tespit etmiştir. KHK’nın 47. maddesini içerik yönünden ise 1., 2. ve 3. fıkralar, Anayasa 91/1 uyarınca Anayasa’ya aykırı bulunarak iptal edildiğinden incelememiştir. Maddenin 4. ve 5. fıkralarına ilişkin iptal istemini ise ileri sürülen iddiaların sadece 1., 2. ve 3. fıkraları kapsaması, anılan fıkralarda düzenlenen hususların ise istihdam edilen sağlık personelinin kurumsal kimliğiyle ilgili bilgilerin ve sağlık personeli hareketlerinin toplanmasına ilişkin olması ve bu nedenle Anayasa’nın 17. ve 20. maddeleriyle ilgisinin bulunmaması nedeniyle reddetmiştir.

Anayasa Mahkemesi tarafından 47. maddenin 1., 2. ve 3. fıkralarının, Anayasa’nın 91. maddesine aykırılığı nedeniyle iptal edilmesine ilişkin karar verilmesine rağmen, Mahkeme tarafından içerik ile ilgili bir incelemenin yapılmaması isabetli olmamıştır. 6223 sayılı Yetki Kanunu’nun iptal edilmemesi sonucunda bu yetki kanununa dayanılarak 663 sayılı KHK’nın çıkarılmasına benzer şekilde, 663 sayılı KHK’nın 47. maddesinin içerik olarak Anayasa’ya aykırılığının incelenmemesinin sonucunda Anayasa Mahkemesi tarafından iptal edilen düzenleme, hiçbir değişiklik yapılmaksızın bu sefer bir torba kanun ile getirilmek istenmiştir.

2.4. 6495 Sayılı Bazı Kanun Ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına Dair Kanun

TBMM’de 12.7.2013 tarihinde kabul edilerek ve 02.08.2013 tarihli, 28726 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6495 sayılı Kanun’un 73. maddesinin 1. fıkrasının (h) bendinin 3 numaralı alt bendi ile 663 sayılı KHK’nın 47. maddesinin 1., 2. ve 3. fıkraları aynen düzenlenmiştir.

Anayasa Mahkemesi tarafından iptal edilen 663 sayılı KHK’nın 47. maddesinin 1., 2. ve 3. fıkraları, bu sefer bir kanun ile getirilmiş görünmek ile birlikte, esasında 6495 sayılı Kanun’un 73. maddesi yine 663 sayılı KHK’nın 47. maddesinde değişiklik yapmaktadır. Görünüşte kanun ile yapılan düzenleme; yine kanun hükmünde kararnamede değişiklik meydana getirdiğinden, temel hak ve özgürlüklerin kanun hükmünde kararname ile düzenlenemeyeceğine ilişkin Anayasa’ya aykırılık hususu giderilmemiştir.

Söz konusu torba kanunun birçok maddesine karşı, ana muhalefet partisinin 128 milletvekili tarafından kanunun Anayasa’ya aykırı olduğundan bahisle, iptal ve yürürlüğün durdurulması istemiyle dava açılmıştır. Kişisel sağlık verilerine ilişkin iptal isteminin gerekçesi ise; Sağlık Bakanlığı ve bağlı kuruluşlarına kişisel verileri toplama, saklama, işleme ve paylaşma yetkisinin verilmesinin özel hayatın gizliliği ve kişisel verilerin korunması haklarının özüne müdahale etmesi ve bu hakları ölçüsüzce sınırlandırılması sonucunu doğurması nedeniyle Anayasa’nın 2., 13., 20. ve 90. maddelerine aykırı olduğudur.

Anayasa Mahkemesi, 16.07.2015 tarihli ve 29418 sayılı Resmi Gazete’de yayımlanan 2013/114 E., 2014/184 K. ve 4.12.2014 tarihli kararı ile 6495 sayılı Kanun’un 73. maddesinin atfıyla aynen düzenlenen 663 sayılı KHK’nın 47. maddesinin 1., 2. ve 3. fıkralarını bu kez içerik bakımından incelemiştir.

Mahkeme, 47/1’de anılan sınırlamayla, kişilerin her türlü kişisel bilgilerinin değil, sadece sağlık hizmetinin gereği olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları bilgilerin toplanması, işlenmesi ve paylaşılması yetkisi verilmesi nedeniyle bu sınırlamanın özel hayatın ve kişisel verilerin korunması haklarını bütünüyle ortadan kaldırmadığına veya ciddi surette güçleştirip amacına ulaşmasına engel olmadığına karar vermiştir. Ancak, kişisel bilgilerin “her türlü vasıtayla” toplanmasına, işlenmesine ve paylaşılmasına izin verilmesinin sınırlamayı, öngörülme amacının ötesinde kişisel bilgilerin gizliliğinin keyfi şekilde ihlal edilmesi sonucunu doğurabilecek bir araca dönüştürdüğünü belirtmiştir. Bu hususun ise sınırlama aracıyla sınırlama amacı arasında bulunması gereken makul dengeyi bozduğunu, özel hayatın ve kişisel verilerin korunmasını isteme haklarına kuralda belirtilen sınırlama amacı dışında ölçüsüz bir şekilde müdahale edilebilmesine imkân tanındığını tespit etmiştir.

47/2’deki düzenleme ile 47/1’de belirtilen yöntemlerle toplanan ve işlenen kişisel verilerin ilgili üçüncü kişiler ile kamu kurum ve kuruluşlarıyla paylaşılması öngörüldüğünden Mahkeme, aynı gerekçelerle bu düzenlemenin de ölçülülük ilkesini ihlal ettiğini belirtmektedir.

47/3’teki düzenlemeye ilişkin olarak ise Anayasa Mahkemesi, Sağlık Bakanlığı ve bağlı kuruluşlarına verilen görevlerin çok geniş bir alanı kapsamakta olduğuna ve bu görevlerin tamamının kişilerin özel hayatlarına müdahale edilmesini gerektirecek bir toplumsal zorunluluğu bünyesinde barındırmadığına karar vermiştir. Dava konusu kuralla sadece demokratik toplum düzeni yönünden zorunlu olan sınırlamalara değil, özel hayatın ve kişisel verilerin korunması haklarına yapılabilecek her türlü sınırlamaya izin verilmesinin kuralda anılan haklara sınırlama getirilirken sınırlama aracının sınırlama amacına uygun ve orantılı olarak kullanılmasını temin edecek güvencelere yer verilmemesinin ölçülülük ilkesine aykırı düştüğünü belirmiştir.

Anayasa Mahkemesi, belirtilen gerekçe ile dava konusu kuralların Anayasa’nın “Cumhuriyetin nitelikleri” başlıklı 2., “Temel hak ve hürriyetlerin sınırlandırılması” başlıklı 13. ve “Özel hayatın gizliliği” başlıklı 20. maddelerine aykırı olması nedeniyle iptal edilmesine karar vermiştir. Aynı zamanda, iptal hükmünün kararın Resmi Gazete’de yayımlanmasından başlayarak 6 ay sonra yürürlüğe girecek olması nedeniyle, 663 sayılı KHK’nın 47. maddesinin 1., 2. ve 3. fıkralarının; bu fıkraların uygulanmalarından doğacak, sonradan giderilmesi güç veya olanaksız durum ve zararların önlenmesi ve iptal kararının sonuçsuz kalmaması için yürürlüklerinin durdurulmasına oy çokluğu ile karar vermiştir.

  1. 5. 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kişisel sağlık verilerine ilişkin nihai düzenleme, 24.03.2016 tarihinde kabul edilerek 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kanun’un 30. maddesi ile yapılmıştır. “Değiştirilen ve eklenen hükümler” başlıklı 30. maddenin 7. fıkrası ise yine 663 sayılı KHK’nın 47. maddesine atıf yapmaktadır.

Maddenin son hali 6 fıkradan oluşmakta olup, ilk fıkrasında kişisel verilerin işlenebileceğine dair genel düzenleme yer almaktadır. Verilerin işlenmesi hususunda eski düzenlemede, bakanlık ve bağlı kuruluşlarının mevzuatla kendilerine verilen görevleri, e-devlet uygulamalarına uygun olarak daha etkin ve hızlı biçimde yerine getirebilmek için sağlık verilerinin işlenebileceği öngörülmüşken; maddenin son halinde, bu muğlak ve geniş halleri kapsayan ifadelere yer verilmeksizin maddenin 2. fıkrasında verilerin, “sağlık hizmetinin verilmesi”, “kamu sağlığının korunması”, “koruyucu hekimlik”, “tıbbi teşhis”, “tedavi ve bakım hizmetlerinin yürütülmesi” ile “sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması” amaçlarıyla işlenebileceği belirtilmiştir. Bu düzenlemenin 6698 sayılı Kanun’un 6/3 düzenlemesiyle paralel şekilde yapıldığı görülmektedir.

2. fıkrada ise verilerin aktarılmasına ilişkin olarak 6698 sayılı Kanun’da öngörülen şartlara atıf yapılmıştır ve bu haller dışında verilerin aktarılamayacağı düzenlenmiştir. Kanun’un “Kişisel verilerin aktarılması” başlıklı 8. maddesi ise yine 6/3’e atıf yapmaktadır ve sağlık verilerinin aktarılması için de kişisel verilerin açık rıza olmadan işlenmesine ilişkin hallerin geçerli olduğu belirtilmiştir.

Maddenin 3. fıkrasında, 2. fıkra gereğince toplanan ve işlenen kişisel verilere ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistemin Bakanlıkça kurulacağından bahsedilmektedir. 4. fıkrada ise 3. fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartların Kişisel Verileri Koruma Kurulu’nun belirlediği ilkelere uygun olarak Bakanlıkça belirleneceği ve kayıtlı bilgilerin ne amaçla kullanıldığının denetlenmesine ilişkin kurulacak güvenlik sistemleri düzenlenmiştir.

5. fıkrada sağlık personeli istihdam eden tüm sağlık hizmeti veren kuruluşların bu personelleri ve personel hareketlerini Bakanlığa bildirmekle yükümlü olduğundan bahsedilmiştir. Maddenin son fıkrasında ise kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceğine yer verilmiştir.

  1. 6. Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik

Söz konusu yönetmelik, 20.10.2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. 1. maddede yönetmeliğin amacı belirtilmiş olup amaç özetle; verilerin korunması ve veri mahremiyetinin sağlanması, kişisel sağlık verilerinin işlenmesi, aktarılması ve verilere erişim için kurulacak sistemlerin belirlenmesi, sistemlerin güvenliği ve denetimi ile ilgili usul ve esasların düzenlenmesidir.

Tüm Eczacı İşverenler Sendikası ve Türk Dermatoloji Derneği ile Türk Psikiyatri Derneği tarafından ilgili yönetmeliğin yürütmesinin durdurulması ve iptali talebi ile Danıştay’da dava açılmıştır. Yönetmeliğin; 6698 sayılı Kanun’un 6/3 ve 6/4 maddelerine, 663 sayılı KHK’nın 47., AY’nin 2., 17., 20., 56. ve 108 sayılı Sözleşme’nin 10/2 maddesine ve BİYOTIP Sözleşmesi’ne aykırılık nedeniyle 90. maddelerine aykırı olduğu iddia edilmiştir.

İstemin gerekçeleri ise; 6698 sayılı Kanun’un 22. maddesinin (ç) ve (h) bentleri gereğince Kişisel Verileri Koruma Kurulu’nun görevleri ve yetkileri arasında yer alan özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemlerin belirlenmesi ve kişisel verileri içeren mevzuat taslakları hazırlanırken görüş bildirme şartlarının yerine getirilmemesi, 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Sözleşme”ye aykırı olarak özel hayatın korunmasının özünü zedeleyecek şekilde verilerin işlenmesine ilişkin hallerin geniş tutulması, neredeyse istisna bırakılmaksızın niteliği ne olursa olsun tüm sağlık verilerinin işlenerek kamu kurum ve kuruluşları arasında paylaştırılması, sağlık verilerinin korunma yönteminin, esaslarının, kapsamının belli olmaması ve idareye ucu açık, çerçevesi belli olmayan bir yetki alanı tanınmasıdır.

Danıştay 15. Dairesi’nin 2016/10488 ve 2016/10500 E. sayılı, 06.07.2017 tarihli kararı ile yönetmeliğin yürütmesinin durdurulmasına karar verilmiştir. Söz konusu kararında Danıştay; kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmenin, Kanun’un 22. maddesinin 1. fıkrasının (h) bendinde düzenlendiği gibi Kişisel Verileri Koruma Kurulu’nun görevleri arasında olduğunu belirtmiştir. Yine Kanun’un 6. maddesinin 4. fıkrasında özel nitelikli verilerin işlenmesinde Kurul tarafından belirtilen önlemlerin alınmasının şart olduğuna ilişkin hükme atıf yapmıştır. Kanun’un Geçici 1. maddesinin 1. fıkrasına göre Kanun’un Resmi Gazete’de yayımlandığı 07.04.2016 tarihinden itibaren 6 ay içinde, Kurul’un üyelerinin seçiminin tamamlanması gerekirken bu zorunluluğun 30.01.2017’de yerine getirildiğini, iptali istenen yönetmeliğin tarihi olan 20.10.2016’da henüz Kurul’un oluşturulmadığını ve 6/4’teki yeterli önlemler belirlenmeden, 22/1 (h)’deki kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında Kurul görüşü alınmadan yönetmelik düzenlediğini tespit etmiştir. Danıştay 15. Dairesi, Kurul’un denetim yetkisinin genel nitelikte olduğu ve Kurul’dan görüş alınmaması nedeniyle Kurul’un denetim ve kontrol yetkisinden geçmeyen yönetmeliğin mevzuata ve hukuka aykırı olduğu gerekçesiyle Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’in yürütmesinin durdurulmasına karar vermiştir.

  1. 7. Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına İlişkin Yönetmelik

Söz konusu yönetmelik, 24.11.2017 tarihinde 30250 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Burada ilginç olan husus ise yürütmesi 06.07.2017 tarihinde durdurulan yönetmelikte değişik yapılmasıdır. İdari işlemler ve idare tarafından yapılan genel düzenleyici işlemler; idari yargı organları tarafından yürütmeleri durduruluncaya veya iptal edilinciye karar hukuka uygunluk karinesinden yararlanırlar. Ancak yürütmesinin durdurulmasına karar verilen bir yönetmelikte değişiklik yapılması idarenin hukuka uygun davranma bilincinin olmadığını ve bu düzenlemenin yapılması hususunda ne kadar ısrarcı olduğunu göstermektedir.

İşbu yönetmelik ile yapılan değişikliklerin başlıcaları, Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik maddeleri açıklanırken ayrıntılı şekilde aktarılacaktır.

  1. 8. Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’in Önemli Maddelerinin 24.11.2017 Tarihli Yönetmelik İle Karşılaştırılarak Değerlendirilmesi

Yönetmeliğin 5. maddesinde genel ilke ve esaslar belirtilmiş olup, 6. fıkrada sağlık hizmet sunucularının elektronik kayıt sistemlerinin kurulmasından ve işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından ve elektronik sağlık kayıtlarının merkezi sağlık veri sistemine aktarılmasından sorumlu olduğuna dair düzenlemeye yer verilmiştir. 8. fıkrada ise kişisel sağlık verilerinin merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun şekilde aktarılacağı belirtilmiştir.

Maddenin ilgili fıkralarında açıkça belirtildiği gibi 663 sayılı KHK’nın 47. maddesinin son halinde bahsi geçmeyen bir merkezi sağlık veri sistemi kurulmuştur ve sağlık kurum ve kuruluşları tarafından sağlık hizmeti alan kişilerin verileri bu sisteme aktarılacaktır. Verilerin depolandığı bir merkezi sistemin kurulmasının ve aktarım usulünün yönetmelikle dahi net şekilde düzenlenmemesi sonucu idareye temel hak ve özgürlükleri daraltabilecek bir yetki tanınmıştır.

7. maddede en önemli tartışma konularından bir tanesi olan sağlık verilerinin işlenmesi düzenlenmiştir. 1. fıkrada, Kanun ve 663 sayılı KHK’nın 47. maddesi ile paralel olarak açık rıza alınmadan verilerin işlenebileceği haller sayılmıştır. Bu hallerden kamu sağlığının korunması, isabetli bir amaç olarak görünmekle birlikte muğlak ve sınırları çizilmemiş bir kavram olduğundan diğer amaçlar ile işlenemeyecek birçok sağlık verisinin işlenmesini mümkün kılmaktadır. Koruyucu hekimlik ve tıbbi teşhis amaçları; kişiye özel nedenler teşkil etmekte olduğundan verilerin işlenmesi bakımından en makul amaçlar olarak sıralanabilir. Tedavi ve bakım hizmetlerinin yürütülmesi ve sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçları ise hem neye işaret edildiği tam olarak anlaşılamayan hem de esasında kişilerin özel hayatına müdahale edecek şekilde birçok verinin işlenmesine neden olabilecek amaçlardır. Görüldüğü üzere; yönetmelikle getirilen düzenleme, Kanun’a ve ilgili KHK’ya uygundur ancak Kanun’un 6/3 maddesinde sayılan hallerin çok geniş tutulması sonucu neredeyse tüm sağlık verilerinin işlenmesi olanaklı hale getirilmiştir.

8. madde kişisel sağlık verilerinin aktarılmasına ilişkindir. 1. fıkrada verilerin açık rıza olmaksızın işlenmesine ilişkin amaçlar, aynen verilerin aktarılması için de sayılmıştır. 3. fıkrada, kamu kurum ve kuruluşları ile Bakanlık veya bağlı kurum ve kuruluşları arasında yapılacak veri aktarımının, aktarım usulünü ve diğer gerekli hususları belirleyen bir protokol aracılığı ile yapılacağı düzenlemesine yer verilmiştir. Bu fıkrada verilen yetki ile içeriği belirsiz protokoller ile diğer Bakanlık tarafından diğer kamu kuruluşlarına veri aktarımı yapılması düzenlenmiştir. Veri sahiplerinin aktarıma müdahale etme yetkisinin olmaması ve aktarımda uygulanacak kuralların belirlenmeksizin protokollere bırakılmış olması idareye geniş bir yetki alanı tanımaktadır. 24.11.2017 tarihli yönetmeliğin 8. maddesi ile yapılan değişiklik ile 8/3 maddesi yürürlükten kaldırılmış olup, verilerin aktarımı hususunda Kanun’un 8. ve 9. maddelerine atıf yapılmıştır.

Kişisel sağlık verilerinin silinmesi 9. madde ile düzenlenmiştir. 1. fıkradaki düzenleme gereğince kişisel sağlık verileri, verilerin işlenmesini gerektiren halin ortadan kalkması durumunda derhal silinmemektedir ve ancak ilgilinin talebi üzerine anonim haline getirilmektedir veya silinmektedir. Söz konusu düzenleme, işlenmesini gerektiren bir hal olmamasına rağmen verilerin idarenin bünyesinde kalmasına izin vermektedir. Nitekim, 24.11.2017 tarihli yönetmeliğin 9. maddesi ile yapılan değişiklik sonucu verilerin işlenmesini gerektiren halin ortadan kalkması durumunda, verilerin ilgilinin talebi üzerine ve re’sen silineceği öngörülmüştür. 2. fıkrada ise silinmesi talep edilen verilerin bir hakkın tesisi, kullanılması veya korunması ya da verilerin ihtiyaç halinde adli mercilere verilebilmesini mümkün kılmak için, Bakanlıkça kurulan merkezi bir sistemde arşivleneceği düzenlenmiştir. Verilerin silinmesi halinde dahi ne Kanun’da ne de ilgili KHK’da gösterilen amaçlar olmaksızın başka nedenlerle verilerin arşivde tutulabileceğine ilişkin düzenleme, esasında verilerin hiçbir şekilde silinmemesi sonucunu doğurmaktadır. Bu husus da aslında bir defa işlenen verilerin silinmesinin söz konusu olmadığı ve idarece saklandığı anlamına gelmektedir, ki bu husus Anayasa 20/3’te düzenlenen kişisel verilerin korunması hakkının ihlalidir. Yine, 24.11.2017 tarihli yönetmelik ile; söz konusu yönetmeliğin 9/2 maddesi yürürlükten kaldırılmıştır. 3. fıkrada ise, sağlık verilerinin yerel sistemden 10 yıl sonra silinecekleri düzenlenmiş olup, verilerin ana bilgi deposundan ise ne zaman silineceği düzenlenmemiştir. Yukarıda yapılan eleştiriler bu husus için de geçerlidir, verilerin yerel sistemden silinmesi bu veriler merkezi veri sisteminde tutulduğu sürece işlevsizdir ve veriler Kanun’a aykırı şekilde tutulduğu için Anayasa 20/3’ün ihlali meydana gelmektedir.

12. madde ile Kanun’da yer almayan bir komisyon olan Kişisel Verileri Koruma Komisyonu oluşturulmuştur. Bu komisyona veri aktarımına ilişkin başvuruları değerlendirme, şikayetleri inceleme ve gerekli denetimleri yapma gibi önemli yetkiler verilmiştir. Ancak belirtildiği gibi, bu komisyonun hiçbir meşruiyeti bulunmamaktadır. Ayrıca, komisyonun üyeleri tarafsız olmayan ve alana ilişkin meslek örgütlerinden olmayan kişilerdir. Komisyona, Kanun’un 9. maddesine aykırı olarak yurt dışına veri aktarımı da dahil olmak üzere veri aktarım taleplerini değerlendirme yetkisi verilmiştir ancak Kanun’daki düzenlemeye göre bu yetki, Kişisel Verileri Koruma Kurulu’ndadır. 24.11.2017 tarihli yönetmeliğin 13. maddesi ile Kişisel Verileri Koruma Komisyonu’nu düzenleyen 12. madde yürürlükten kaldırılmıştır.

13. maddede Genel Müdürlük düzenlenmiş olup, bu kuruma verilen görevlerin bazılarından bahsedilecektir. Genel Müdürlüğün görevlerinden en önemlisi kişisel sağlık verilerinin tutulacağı merkezi veri sistemini kurmaktır ve tutulan kayıtların merkezi sağlık veri sistemine gönderilmesini sağlamaktadır. Bununla beraber, kişisel sağlık kaydı sistemini kurmak da bu kurumun görevleri arasında sayılmıştır.

En çok tartışılan husus olan merkezi sağlık veri sistemi, yönetmeliğin 14. maddesinde yer almaktadır. Sağlık hizmet sunucuları, sağlık hizmeti almak üzere kendilerine müracaat eden kişilere ait verileri kaydetmek ve bu verileri merkezi sağlık veri sistemine göndermek ile yükümlü kılınmıştır.

Kişisel sağlık kaydı sistemi ise yönetmeliğin 15. maddesinde düzenlenmiştir. Bu sistem, 663 sayılı KHK’nın 47. maddesinin 3. fıkrası ile öngörülen sistemdir. Sunulan sağlık hizmetlerini takip etmek, sağlık kayıtlarını yönetmek, sağlık tesislerinde uygulanan işlemleri ve sonuçlarını incelemek, kişisel sağlık verilerine her yerden erişmek ve bu verileri yetki verilen kişilerle paylaşmak için Bakanlık tarafından bir sistem kurulmuştur. 5. fıkrada, ilgili kişilere kişisel sağlık kaydı sisteminde kişinin değişiklik yapma ve bu sistemi yönetme yetkisi tanınmıştır. Ancak Bakanlığın elindeki tüm verilerin yer aldığı sistem, merkezi sağlık veri sistemi olduğundan kişisel sağlık kaydı sistemi üzerinde değişiklik yapılmasının hiçbir anlamı bulunmamaktadır. Kişisel sağlık kaydı sistemi; sadece kişilerin verilerini takip edebileceği bir sistem olup, burada yapılan değişiklik, silme, ekleme gibi işlemlerin merkezi sağlık kaydı sistemindeki verilere herhangi bir etkisi yoktur.

“Yaptırım” başlıklı 17. maddede, yönetmeliğe aykırı davranılması halinde uygulanacak yaptırımlar düzenlenmiştir. Maddede, 6698 sayılı Kanun’un 17. ve 18. maddelerine atıf yapılmakta olup, 17. madde Türk Ceza Kanunu’nun 135. ve 140. maddeleri arasındaki suçları ve 18. madde kabahatleri düzenlemektedir.

Yönetmelik maddeleri ile birlikte ayrıntılı olarak değerlendirildiği üzere, yönetmelikte yapılan 24.11.2017 tarihli değişiklik bazı hususlarda lehedir. Ancak, özellikle verilerin işlenmesine ve işlenen verilerin merkezi bir sistemde tutulmasına ilişkin düzenlemeler; özel hayatın gizliliği ve kişisel verilerin korunması haklarının özüne dokunmaktadır ve bu nedenle Anayasa’nın 20 ve 20/3 maddelerine aykırılık teşkil etmektedir. Yönetmeliğin amaçlarından bir tanesi, kişisel sağlık verilerinin mahremiyetinin sağlanması olsa da söz konusu yönetmelik bundan ziyade, neredeyse her halde verilerin işlenmesine imkan tanıyan ve verilerin tutulduğu merkezi sistemlere meşruiyet kazandırmaya çalışan bir düzenleme olarak karşımıza çıkmaktadır.

  1. UYGULAMADA KİŞİSEL SAĞLIK VERİLERİNİN KAYIT ALTINA ALINDIĞI SİSTEMLER VE KAYIT ALTINA ALINAN KİŞİSEL SAĞLIK VERİLERİ

Sağlık Bakanlığı tarafından hali hazırda kişisel sağlık verilerinin depolandığı sistemler; E-nabız, Medula ve Sağlık.net 2 sistemleridir. Bu sistemlerin hukuki dayanağı, 6698 sayılı Kanun’un 30. maddesinin 6. fıkrasının atfı ile 3359 sayılı Sağlık Hizmetleri Temel Kanunu’nun 3. maddesinin (f) bendinde yer alan ve sağlık bilgilerinin takibi için gerekli kayıt sistemi oluşturulmasını öngören düzenlemedir.

Hassas sağlık verilerinin otomatik işlemlerle dijital ortama aktarılmasını sağlayan bu sistemler, kişiler tarafından kişisel sağlık verilerinin nerede depolandığının ve nerede karşılarına çıkacağının bilinmemesi nedeniyle esasında bir nevi sağlık panoptikonu yaratmaktadır.

  1. 1. MEDULA Sistemi

2003 yılının Aralık ayında uygulamaya konulan Sağlıkta Dönüşüm Programı’na bağlı olarak 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun Mayıs 2006’da yürürlüğe girmesinin ardından Sosyal Güvenlik Kurumu tarafından MEDULA sistemi ile ödeme kapsamı içindeki bireylerin sağlık bilgileri elektronik ortamda kayıt altına alınmaya başlamıştır. Genel Sağlık Sigortası Genel Müdürlüğü ile sağlık tesisleri arasında, sağlık tesislerinin iç süreçlerine müdahale etmeksizin fatura bilgisini elektronik olarak toplamak ve hizmetlerin ödemesini gerçekleştirmek için oluşturulmuş bütünleşik sistem şeklinde tanımlanan MEDULA, sayısız kişisel veriyi barındıran bir sistemdir.

Tüm sağlık verilerini tek bir sistemde birleştiren bir sistem olan MEDULA ile ilgili olarak; 2008 yılında Sağlık Bakanlığı’ndan Çalışma ve Sosyal Güvenlik Bakanlığı’na gönderilen 01.07.2008 tarihli ve 1486 sayılı yazıda, Dünya Sağlık Örgütü ve Uluslararası Telekomünikasyon Birliği ve Bakanlık Danışma tarafından yapılan üçlü değerlendirmede, sistemin E-sağlık Stratejisi ile paralel giden bir güvenlik ölçeğine sahip olmadığı açıkça ifade edilmiştir. Bununla birlikte, söz konusu yazıda güvenlik sorunu nedeniyle SGK tarafından elektronik ortamda yapılacak geri ödeme fatura kontrol işlemlerinin kişisel sağlık verileri toplanmaksızın yapılması gerektiği yönünde görüş bildirilmiştir. Sağlık Bakanı’nın imzası bulunan, kişisel sağlık verilerinin toplanmaması hususunda görüş bildirilen resmi yazıya rağmen MEDULA sisteminde kişisel sağlık verileri yıllardır kaydedilerek kurum ve kuruluşlar arasında aktarılmaktadır.

  1. 2. E-Nabız Sistemi

Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından E-Nabız, sağlık hizmetleri sunucusu olan hekim ile hizmeti alan kişi arasında, kişinin sağlığı hakkında doğrudan bilgi alışverişine, tıbbi görüntü ve raporlarının paylaşımına imkan sağlayan, arada herhangi bir üçüncü kişinin bulunmadığı, bu denli geniş kapsamlı ve güvenli bir hasta-hekim iletişim formu olarak dünyadaki ilk ve tek sistem olarak tanımlanmaktadır.

E-Nabız sisteminin kurulduğunu bildiren Sağlık Bakanlığı’nın 2015/5 sayılı Genelgesi’nin yürütmesi Danıştay 15. Dairesi tarafından, dayanak olmaksızın kişisel verilerin toplanamayacağından cihetle durdurulmuştur. Bunun üzerine, Bakanlık tarafından çıkarılan 2016/6 sayılı Genelge ile tüm üniversite ve özel hastanelerin, aile hekimliklerinin veri sisteminin ilgili sisteme entegre edilmesi ve tüm bilgilerin gönderilmesi, E-nabız’a entegre olmamış tüm sağlık tesislerinin bir an önce entegrasyonunun sağlanması, tüm hastaneler ve sağlık mensuplarına duyurulmuştur.

  1. 3. Sağlık.net 2 Sistemi

Sağlık.net sistemi; sağlık kurumlarında elektronik ortamda üretilen verileri, doğrudan üretildikleri yerden standartlara uygun şekilde toplamayı, toplanan verilerden tüm paydaşlar için uygun bilgiler üreterek birinci, ikinci ve üçüncü basamak sağlık hizmetlerinde verim ve kaliteyi arttırmayı hedefleyen, entegre, güvenli, hızlı ve genişleyebilen bir bilgi ve iletişim platformu olarak tanımlamaktadır. Sağlık.net veri sistemi, SGK ile sözleşmesi olmayan özel sağlık kuruluşlarını, muayenehaneleri, cezaevi hekimliklerini, aile hekimliği birimlerini de kapsayacak şekilde genişletilerek Sağlık.net 2 ismini almıştır. Bu sistem, kamu-özel ayrımı olmaksızın sağlık hizmeti veren tüm sağlık kurum ve kuruluşlarının verilerinin toplanmasının öngörüldüğü sistemdir. Sağlık Bakanlığı, bu sistemi ile bilgi ve iletişim platformu sağlık hizmeti sunan tüm yerleri kapsamına almayı amaçlamıştır.

  1. 4. Kayıt Altına Alınan Kişisel Sağlık Verileri

Merkezi sistemlerde kayıt alına alınan veriler, Bakanlığa bağlı ya da Bakanlığın denetiminde bulunan sağlık kurumlarından birçok form aracılığıyla toplamaktadır. Bu formlar; GEBLİZ (Gebe, Lohusa İzleme), AşıNet (Yenidoğan ve aşılama), Kalıtsal Kan Hastalıkları Bildirim, 15-49 Yaş Kadın İzleme, Acil Servis Ünitesi İntihar Girişimleri Kayıtları, MORBİD Obez Hasta Bilgi formlarıdır.

Kamu ve özel bütün sağlık kuruluşları tarafından merkezi sisteme göndermekle yükümlü olunan bilgiler, yalnızca bildirimi zorunlu hastalıklara ilişkin değildir. Bunların yanı sıra talep edilen bilgilerin arasında; kimlik, adres, iletişim bilgileri, hamilelik testleri, sağlık geçmişi, özürlülük durumu, medeni hal, alkol-madde-sigara kullanımı, iş, meslek, öğrenim durumu, eğitim kurumuna devam etme durumu, gelir durumu, ailesinde intihar girişimi, cinsel partner bilgileri, kişisel bakım, kişisel hijyen, mahkumiyet/tutukluluk durumu, hastalık şikayetleri, hastanın öyküsü (anemnezi), bütün tetkik sonuçları, tetkik istenen kurumlar, 15-49 yaş arası kadınların doğum, düşük türü ve sayıları, kadın sağlığı işlemleri, kullanılan aile planlaması yöntemi, gebelik tespiti sonuçları, son adet tarihi, babanın kan grubu, gebe olduğu tespit edilmiş olsun ya da olmasın, doğum ya da düşükle sonuçlanan tüm gebelikler, ağız ve diş sağlığı ile ilgili tüm koruyucu hekimlik, teşhis ve tedavi işlemleri ve daha pek çok bilgi yer almaktadır.

Kişisel sağlık verilerine ilişkin kayıt altına alınan bilgiler; hekimler, dişhekimleri, konsültanlar, diğer sağlık çalışanları, sağlık hizmet kurumları, idari personel ve yöneticiler, laboratuarlar ve çalışanları, eczaneler, Sağlık Bakanlığı, Sosyal Güvenlik Kurulu, Maliye Bakanlığı, adli süreçler söz konusu olduğunda adli makamlar ve görevlileri, hasta yakınları tarafından kolaylıkla izlenebilmektedir.

  1. 5. Merkezi Sağlık Veri Sistemlerinin Eleştirisi

Türk Tabipler Birliği tarafından 18.09.2013 tarihinde onaylanarak oluşturulan Kişisel Sağlık Verileri Çalışma Grubu tarafından düzenlenen değerlendirme yazısında da ayrıntılı olarak yer verildiği gibi; Sağlık Bakanlığı tarafından ısrarla sağlık verilerinin tutulduğu bilişim sistemleri oluşturulmak ve bu sistemlerde hiçbir ayrım yapmaksızın tüm kişisel sağlık verileri tutulmak istenmektedir.

Bakanlık; kişisel sağlık verilerinin toplanması için toplum sağlığının düzenlenmesi, iyileştirilmesi ve kişilerin daha iyi sağlık hizmeti alabilmesi gibi gerekçeler öne sürmesine rağmen verilerin Bakanlık bünyesinde işlenmesi yanında özel sektörle paylaşılıp paylaşılmayacağı ve paylaşılması durumunda özel sektörün hangi amaçlarla bu bilgileri kullanacağı ise belirsizliğini korumaktadır.

Sağlık Bakanlığı tarafından ileri sürülen sağlık hizmetlerinin planlanması ve sağlık politikalarının oluşturulması amaçları için tek yol; kişilerin kimlikleri anlaşılabilecek biçimde bütün sağlık bilgilerinin tutulması değildir. Bilgi içeriklerinin sınırlandırılması, azaltılması ve ayıklanmasının yanı sıra, ad ve soyadın kodlanması, sadece hasta ve hekimin göreceği şekilde şifrelenmesi gibi pek çok araç kullanılarak sağlık politikalarını belirleyecek ölçüde kişilerin sağlık kayıtlarına ulaşılabilir.

Kişisel sağlık verilerine ilişkin mevzuatın aktarıldığı bölümde de belirtildiği gibi hali hazırdaki düzenlemelerin amacı; kişisel verilerin korunmasından ziyade, idare tarafından verilerin toplanması, kayıt altına alınması ve istenildiği şekilde paylaşılmasıdır.

Merkezi sistemlerde kişisel sağlık verilerinin tutulmasının en büyük sıkıntılarından bir tanesi,  kişilerin bilgilerinin kamusal olarak kaydedilmesinden endişe duyarak sağlık hizmeti almamasıdır ve hastalığı toplum sağlığı açısından önem taşıdığı hallerde dahi hastalığını gizleme yoluna gitmesidir. Kişisel verilerin tutulması; toplum sağlığını olumsuz etkileyecek bu denli büyük sorunlara yol açabilmektedir.

SONUÇ

Üç bölüm halinde ayrıntılı olarak açıklandığı üzere; verilerin işlenmesine ilişkin hallerin çok geniş tutulmuş olması nedeniyle Sağlık Bakanlığı tarafından kişisel sağlık verileri, hiçbir ayrım yapılmaksızın merkezi veri sistemlerinde tutulmaktadır. Sağlık hizmeti alan kişilerin verilerinin işlenmemesini, tutulmamasını ve aktarılmamasını talep etme hakları bulunmamaktadır. Hatta; merkezi veri sistemlerinde kişilerin sadece sağlık verileri değil, diğer konulara ilişkin birçok kişisel verisi de tutulmaktadır.

Kişisel sağlık verilerine ilişkin kanun, yönetmelik, genelge dahil olmak üzere neredeyse tüm mevzuat; son halini alana kadar birçok kere yargı organları tarafından iptal edilmesine rağmen aynı ya da benzer düzenlemeler yapılması hususunda ısrarcı olunmuştur. Kanun koyucunun ve idarenin bu ısrarcı tutumu, maalesef temel hak ve özgürlüklerin alanının daralması sonucunu doğurmaktadır. Kişisel sağlık verilerinin korunması amacı ile değil, adeta verilerin işlenmesi ve bu verilerin kayıtlı olduğu sistemlerin kurulması amacı ile hareket edilmiştir.

Mevzuatta değişiklikler yapılarak bu denli fazla verinin işlenmesinin ve merkezi veri sistemlerinde tutulmasının engellenmesi gerekmektedir. Sadece, kişi ve toplum sağlığı için elzem amaçlar için kişisel sağlık verilerinin işlenmesine izin verilmelidir ve bu veriler takma adlar, kodlar kullanılarak saklanmalıdır. Kişilerin, sağlık hizmetleri almalarının bir sonucu olarak; verilerinin ölçüsüz olarak işlenmesi suretiyle Anayasa’daki düzenlenen özel hayatlarının gizliliği ve kişisel verilerinin korunması haklarının ihlal edilmesi hiçbir şekilde kabul edilebilir değildir.

Ofisimiz gerek sağlık sektöründe faaliyet gösteren işletmelere/hastanelere/kliniklere/doktorlara/diş hekimlierine/eczanelere vb. kişisel verilerin korunması hukuku bağlamında danışmanlık ve uyum programı hizmeti sunmaktadır. Bunun yanı sıra kişisel verilere ilişkin haklarının ihlal edildiği düşünen vatandaşlarımıza da ilgili kurum ve kuruluşlar ve adli makamlar nezdinde başvurular ve dahi cezai ve tazminat süreçleri kapsamında hukuki destek vermekteyiz.

İlgili alan oldukça teknik ve uzmanlık gerektiren bir alan olup, mutlaka profesyonel hukuki destek alınması gerekmektedir.

KAYNAK : Av. Burak Temizer- Burak Temizer Hukuk Bürosu- Nişantaşı Şişli İstanbul

Yorum Yap

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir